Конфигурация сети агента Azure Monitor

Агент Azure Monitor поддерживает подключение с помощью прямых прокси-серверов, шлюза Log Analytics и частных ссылок. В этой статье описано, как определить сетевые параметры и включить сетевую изоляцию для агента Azure Monitor.

Теги службы виртуальной сети

Теги службы виртуальной сети Azure должны быть включены в виртуальной сети для виртуальной машины. Требуются теги AzureMonitor и AzureResourceManager.

Теги службы виртуальной сети Azure можно использовать для определения элементов управления доступом к сети в группах безопасности сети, Брандмауэр Azure и определяемых пользователем маршрутах. Теги службы можно использовать вместо определенных IP-адресов при создании правил безопасности и маршрутов. В сценариях, когда теги службы виртуальной сети Azure не могут использоваться, требования брандмауэра приведены ниже.

Примечание.

Общедоступные IP-адреса конечной точки сбора данных не являются частью указанных выше тегов сетевой службы. Если у вас есть пользовательские журналы или правила сбора данных журналов IIS, рекомендуется разрешить общедоступным IP-адресам конечной точки сбора данных для этих сценариев работать до тех пор, пока эти сценарии не будут поддерживаться тегами сетевой службы.

Конечные точки брандмауэра

В следующей таблице представлены конечные точки, к которым должны предоставляться брандмауэры для различных облаков. Каждый из них является исходящим подключением к порту 443.

Внимание

Для всех конечных точек проверка HTTPS должна быть отключена.

Конечная точка Характер использования Пример
global.handler.control.monitor.azure.com Служба управления доступом —
<virtual-machine-region-name>.handler.control.monitor.azure.com Получение правил сбора данных для конкретного компьютера westus2.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com Получение данных журналов 1234a123-aa1a-123a-aaa1-a1a345aa6789.ods.opinsights.azure.com
management.azure.com Требуется только при отправке данных временных рядов (метрик) в базу данных Пользовательских метрик Azure Monitor -
<virtual-machine-region-name>.monitoring.azure.com Требуется только при отправке данных временных рядов (метрик) в базу данных Пользовательских метрик Azure Monitor westus2.monitoring.azure.com
<data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com Требуется только при отправке данных в таблицу пользовательских журналов Log Analytics 275test-01li.eastus2euap-1.canary.ingest.monitor.azure.com

Замените суффикс в конечных точках суффиксом в следующей таблице для разных облаков.

Облако Суффикс
Azure для коммерческих организаций com.
Azure для государственных организаций .нас
Microsoft Azure под управлением 21Vianet .cn

Примечание.

Если вы используете частные ссылки в агенте, необходимо добавить только конечные точки сбора частных данных (DCEs). Агент не использует не частные конечные точки, перечисленные выше при использовании частных ссылок или конечных точек сбора данных. Предварительная версия метрик Azure Monitor (пользовательские метрики) недоступна в Azure для государственных организаций и Azure, управляемых облаком 21Vianet.

Примечание.

При использовании AMA с AMPLS все правила сбора данных должны использовать конечные точки сбора данных. Эти DCE должны быть добавлены в конфигурацию AMPLS с помощью приватного канала

настройки прокси-сервера;

Расширения агентов Azure Monitor для Windows и Linux поддерживают обмен данными с Azure Monitor по протоколу HTTPS либо через прокси-сервер, либо через шлюз Log Analytics. Используйте это для виртуальных машин Azure, масштабируемых наборов виртуальных машин Azure и Azure Arc для серверов. Используйте параметры расширений для конфигурации, как описано ниже. Поддерживается анонимная и базовая аутентификация (с именем пользователя и паролем).

Внимание

Конфигурация прокси-сервера не поддерживается для метрик Azure Monitor (общедоступная предварительная версия) в качестве назначения. При отправке метрик в это место назначения будет использоваться общедоступный Интернет без прокси-сервера.

Примечание.

Настройка прокси-сервера системы Linux с помощью переменных среды, таких как http_proxy и https_proxy поддерживается только с помощью агента Azure Monitor для Linux версии 1.24.2 и выше. Для шаблона ARM, если у вас есть конфигурация прокси-сервера, следуйте примеру шаблона ARM ниже, в котором объявляется параметр прокси внутри шаблона ARM. Кроме того, пользователь может задать переменные глобальной среды, которые собираются всеми системными службами с помощью переменной DefaultEnvironment в /etc/systemd/systemd/system.conf.

Используйте команды PowerShell в следующих примерах в зависимости от среды и конфигурации.:

Нет прокси-сервера

$settingsString = '{"proxy":{"mode":"none"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Прокси-сервер без проверки подлинности

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "false"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString

Прокси-сервер с проверкой подлинности

$settingsString = '{"proxy":{"mode":"application","address":"http://[address]:[port]","auth": "true"}}';
$protectedSettingsString = '{"proxy":{"username":"[username]","password": "[password]"}}';
Set-AzVMExtension -ExtensionName AzureMonitorWindowsAgent -ExtensionType AzureMonitorWindowsAgent -Publisher Microsoft.Azure.Monitor -ResourceGroupName <resource-group-name> -VMName <virtual-machine-name> -Location <location>  -SettingString $settingsString -ProtectedSettingString $protectedSettingsString

Конфигурация шлюза Log Analytics

  1. Следуйте приведенным выше инструкциям, чтобы настроить параметры прокси-сервера в агенте и указать IP-адрес и номер порта, соответствующие серверу шлюза. Если в вашей системе развернуто несколько серверов шлюза с подсистемой балансировки нагрузки, в конфигурации прокси-сервера для агента Log Analytics следует указать виртуальный IP-адрес подсистемы балансировки нагрузки.
  2. Добавьте URL-адрес конечной точки конфигурации для получения правил сбора данных в список разрешений для шлюза Add-OMSGatewayAllowedHost -Host global.handler.control.monitor.azure.comAdd-OMSGatewayAllowedHost -Host <gateway-server-region-name>.handler.control.monitor.azure.com. (Если в агенте используются приватные каналы, добавьте также конечные точки сбора данных.)
  3. Добавьте URL-адрес конечной точки приема данных в список разрешений для шлюза Add-OMSGatewayAllowedHost -Host <log-analytics-workspace-id>.ods.opinsights.azure.com.
  4. Перезапустите службу шлюза OMS, чтобы применить изменения Stop-Service -Name <gateway-name> и Start-Service -Name <gateway-name>.

Следующие шаги